لایر‌زیرو (LayerZero) در تحلیل مقدماتی خود در روز دوشنبه اعلام کرد که سوءاستفاده‌ای که حدود ۲۹۲ میلیون دلار از پل بین‌زنجیره‌ای KelpDAO را در آخر هفته تخلیه کرد، «احتمالاً» کار گروه لازاروس (Lazarus Group) کره شمالی، به طور خاص زیرمجموعه TraderTraitor آن بوده است.

حمله کنندگان ۱۱۶,۵۰۰ واحد rsETH، یک توکن سهام‌گذاری مجدد نقدینگی که توسط اتر (ether) سهام‌گذاری شده پشتیبانی می‌شود، را از پل KelpDAO در روز شنبه تخلیه کردند که این امر باعث برداشت‌های گسترده در بخش مالی غیرمتمرکز (DeFi) شد و بیش از ۱۰ میلیارد دلار از پروتکل وام‌دهی آوه (Aave) خارج شد.

لایر‌زیرو (LayerZero) با اشاره به زیرمجموعه TraderTraitor این گروه گفت که این حمله دارای نشانه‌های «یک عامل دولتی بسیار پیچیده، احتمالاً گروه لازاروس (Lazarus Group) کره شمالی» است.

بر اساس تحلیل سمچ‌سان (Samczsun)، محقق پارادایم (Paradigm)، عملیات‌های سایبری کره شمالی تحت نظر دفتر کل شناسایی (Reconnaissance General Bureau) انجام می‌شود که چندین واحد متمایز از جمله TraderTraitor، AppleJeus، APT38 و DangerousPassword را در خود جای داده است.

در میان این زیرمجموعه‌ها، TraderTraitor به عنوان پیچیده‌ترین عامل کره شمالی که کریپتو را هدف قرار می‌دهد، شناخته شده است و پیش از این نیز با حملات به پل رونین اکسی اینفینیتی (Axie Infinity Ronin Bridge) و وازیر‌اکس (WazirX) مرتبط بوده است.

لایر‌زیرو (LayerZero) اظهار داشت که KelpDAO از یک تأییدکننده واحد برای تأیید نقل و انتقالات در داخل و خارج از پل استفاده کرده است و اضافه کرد که بارها از KelpDAO خواسته بود که به جای آن از چندین تأییدکننده استفاده کند.

لایر‌زیرو (LayerZero) گفت که از این پس، تأیید پیام‌ها را برای هر برنامه‌ای که هنوز از این پیکربندی استفاده می‌کند، متوقف خواهد کرد.

نقطه شکست واحد

ناظران می‌گویند که این سوءاستفاده نشان داد که چگونه این پل با اعتماد به یک تأییدکننده واحد ساخته شده بود.

شالِو کِرن (Shalev Keren)، یکی از بنیانگذاران شرکت امنیت رمزنگاری سودوت (Sodot)، به Decrypt گفت: «این یک نقطه شکست واحد بود، صرف نظر از اینکه بازاریابی آن را چه می‌نامد.»

کِرن گفت: «یک نقطه بازرسی به خطر افتاده به تنهایی برای خروج وجوه از پل کافی بود، و هیچ حسابرسی یا بررسی امنیتی نمی‌توانست این نقص را بدون «حذف اعتماد یکجانبه از خود معماری» برطرف کند.»

این دیدگاه توسط هاوز کیو (Haoze Qiu)، سرپرست بلاکچین در Grvt، تکرار شد که استدلال کرد، "به نظر می‌رسد Kelp DAO یک تنظیمات امنیتی پل را با افزونگی بسیار کم برای دارایی در این مقیاس پذیرفته است،" و افزود که لایر‌زیرو (LayerZero) "نیز مسئولیت‌پذیر است" با توجه به اینکه "این نقص شامل زیرساخت مرتبط با پشته اعتبار‌سنج آن بود، حتی اگر این یک اشکال اصلی پروتکل توصیف نشده باشد."

بر اساس تحلیل شرکت امنیت بلاکچین سایورز (Cyvers)، حمله کنندگان تنها سه دقیقه با تخلیه ۱۰۰ میلیون دلار دیگر فاصله داشتند که یک لیست سیاه سریع جلوی آنها را گرفت. مدیر ارشد فناوری سایورز، میر دولف (Meir Dolev)، به Decrypt گفت که این عملیات بر اساس فریب یک کانال ارتباطی واحد بود.

حمله کنندگان دو خط از خطوطی را که تأییدکننده برای بررسی اینکه آیا برداشتی واقعاً در یونی‌چین (Unichain) اتفاق افتاده است استفاده می‌کرد، مورد دستکاری قرار دادند، یک «بله» جعلی را روی آن خطوط به آن خوراندند، سپس خطوط باقیمانده را آفلاین کردند تا تأییدکننده را مجبور به اتکا به خطوط به خطر افتاده کنند.

دولف گفت: «خزانه سالم بود. نگهبان صادق بود. مکانیسم در به درستی کار می‌کرد. دروغ مستقیماً به گوش تنها طرفی زمزمه شد که کلامش در را باز می‌کرد.»

اما در حالی که لایر‌زیرو (LayerZero)، که زیرساخت پل تخلیه شده را تأمین می‌کرد، لازاروس (Lazarus) را به عنوان عامل احتمالی معرفی کرد، سایورز (Cyvers) در تحلیل خود از این انتساب خودداری کرد.

دولف گفت که برخی الگوها با عملیات‌های مرتبط با کره شمالی از نظر پیچیدگی، مقیاس و اجرای هماهنگ مطابقت دارند، اما هیچ خوشه‌بندی کیف پول مرتبط با این گروه تأیید نشده است.

او افزود که نرم‌افزار نود (node) مخرب به گونه‌ای مهندسی شده بود که پس از اتمام حمله خود را پاک کند، و فایل‌های باینری (binaries) و گزارش‌ها (logs) را از بین ببرد تا مسیر حمله کنندگان را در زمان واقعی و پس از آن محو کند.

اوایل این ماه، حمله کنندگان حدود ۲۸۵ میلیون دلار از پروتکل قراردادهای دائم (perpetuals protocol) درِفت (Drift) مبتنی بر سولانا (Solana) را تخلیه کردند، در سوءاستفاده‌ای که بعداً به عوامل کره شمالی نسبت داده شد.

دولف اشاره کرد که هک درِفت (Drift) «از نظر آماده‌سازی و اجرا بسیار متفاوت بود»، اما هر دو حمله نیازمند زمان‌بندی طولانی، تخصص عمیق و منابع قابل توجهی برای انجام بودند.

سایورز (Cyvers) گمان می‌کند که وجوه سرقت شده به این آدرس اتریوم (Ethereum) منتقل شده است، که با گزارش جداگانه‌ای از محقق آن‌چین (on-chain) زک‌اکس‌بی‌تی (ZachXBT) همسو است که این آدرس را به همراه چهار آدرس دیگر علامت‌گذاری کرده بود. بر اساس گفته زک‌اکس‌بی‌تی (ZachXBT)، آدرس‌های حمله از طریق سرویس اختلاط کوین (coin mixer) تورنادو کش (Tornado Cash) تأمین مالی شده بودند.